Podatność w mechanizmie przesyłania plików w InvoicePlane (do wersji 1.6.3 włącznie) umożliwia uwierzytelnionemu atakującemu wgranie dowolnych plików PHP jako załączniki. Może to prowadzić do zdalnego wykonania kodu (RCE) na serwerze, co stanowi krytyczne zagrożenie dla bezpieczeństwa systemu.
▸ Pokaż oryginał (EN)
File upload vulnerability in InvoicePlane through 1.6.3 allows authenticated attackers to upload arbitrary PHP files into attachments, which can later be executed remotely, leading to Remote Code Execution (RCE).
Aplikacja InvoicePlane nie weryfikuje właściwie typu ani zawartości przesyłanych plików w module załączników. Uwierzytelniony użytkownik może przesłać plik PHP zamiast dozwolonego załącznika. Po wgraniu pliku na serwer atakujący może wywołać go przez przeglądarkę lub bezpośrednie żądanie HTTP, co skutkuje wykonaniem kodu PHP w kontekście serwera webowego. W ten sposób możliwe jest uzyskanie pełnej kontroli nad środowiskiem serwerowym.
Atakujący z dostępem do konta w aplikacji może wykonać dowolny kod na serwerze (RCE), co może prowadzić do przejęcia kontroli nad systemem, kradzieży danych, instalacji backdoor lub dalszego lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji wyłącznie do zaufanych użytkowników oraz skonfigurowanie serwera webowego tak, aby pliki w katalogach załączników nie były wykonywalne (np. blokada wykonania PHP w katalogu uploads).
InvoicePlane w wersji do 1.6.3 włącznie
Podatność wymaga uwierzytelnienia (PR:L), jednak ze względu na zakres wpływu (S:C, C:H, I:H, A:H) ryzyko jest krytyczne w środowiskach, gdzie dostęp do aplikacji mają niezaufane osoby lub gdzie konta użytkowników mogą być skompromitowane. Szczegóły techniczne dostępne w advisory opublikowanym przez helx.io.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:HInvoiceplane
APPInvoiceplane< 1.6.4
Powiązane podatności
Path traversal w InvoicePlane umożliwia odczyt dowolnych plików bez uwierzytelnienia
RCE w InvoicePlane 1.7.0 via LFI i Log Poisoning
RCE w InvoicePlane — niebezpieczne przesyłanie plików (upload_file)
In InvoicePlane 1.5.11 a misconfigured web server allows unauthenticated directory listing and file download. ...
InvoicePlane version 1.4.10 is vulnerable to a Arbitrary File Upload resulting in an authenticated user can up...